det0357-behavioral-detection-of-internet-connection-discovery

# DET0357 — Behavioral Detection of Internet Connection Discovery ## Descrição A descoberta de conectividade de internet é uma técnica de reconhecimento interno frequentemente utilizada por adversários após o comprometimento inicial para mapear o ambiente de rede e válidar se o host comprometido possui acesso à internet. Atores de ameaça empregam ferramentas nativas do sistema operacional como `ping`, `curl`, `tracert` e `nslookup` para testar rotas de saída, verificar a disponibilidade de servidores de comando e controle (C2) e confirmar conectividade antes de estabelecer canais persistentes. O comportamento malicioso se distingue do uso legítimo pela frequência anômala de consultas, pela combinação incomum de ferramentas de rede executadas em sequência rápida, e pela origem dos processos (processos filhos de aplicações não relacionadas a redes, como editores de documentos ou navegadores). Campanhas de malware como [[AgentTesla]] e [[s0367-emotet|Emotet]] utilizam essa técnica para válidar infraestrutura de C2 antes de exfiltrar dados. A estratégia de detecção correlaciona eventos de criação de processo com execução de utilitários de descoberta de rede, cruzando com logs de DNS e conexões de saída para identificar padrões comportamentais indicativos de reconhecimento automatizado. Ferramentas EDR e SIEM são essenciais para correlacionar a cadeia de eventos em tempo real. ## Indicadores de Detecção - Execução de `ping`, `tracert`, `pathping`, `curl`, `wget` ou `nslookup` originada de processos não-administrativos - Múltiplas consultas DNS para hosts externos em intervalo inferior a 5 segundos - Processos filhos de `winword.exe`, `excel.exe`, `powerpnt.exe` executando utilitários de rede - Chamadas a `InternetGetConnectedState` ou `WinHttpOpen` de processos incomuns - Conexões de saída para IPs conhecidos de checagem de conectividade (ex: `8.8.8.8`, `1.1.1.1`) por processos suspeitos - Execução de `curl ifconfig.me` ou `curl api.ipify.org` para descoberta de IP público ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] ## Analytics Relacionadas - [[an1015-analytic-1015|AN1015 — Analytic 1015]] - [[an1016-analytic-1016|AN1016 — Analytic 1016]] - [[an1017-analytic-1017|AN1017 — Analytic 1017]] - [[an1018-analytic-1018|AN1018 — Analytic 1018]] --- *Fonte: [MITRE ATT&CK — DET0357](https://attack.mitre.org/detectionstrategies/DET0357)*